We lijken af te stevenen op een potentieel onbeheersbare situatie voor wat betreft de beveiliging van informatie op landelijk niveau. Vooralsnog lijkt niemand daar echt wakker van te liggen, maar misschien zou dat wel moeten.
Mogelijk ken je de mantra ook: 'Informatiebeveiliging is vooral een organisatorische aangelegenheid'. We schrijven het heel snel op in onze rapporten, vervolgens stellen we dan misschien nog een aantal maatregelen voor en daarna wordt het vaak stil. Het is ook, wil je het goed organiseren, best lastig. Veelal zie je dus dat men op een operationeel niveau maatregelen neemt, lees technische maatregelen, maar dat het strategische niveau nooit wordt gehaald. De organisatorische inbedding ontbreekt.
Het kan zijn, hoop ik, dat ik het verkeerd zie, maar iets dergelijks zie ik ook gebeuren bij de landelijke overheid. Op diverse plaatsen is de overheid bezig met het opzetten van zaken die operationele verbeteringen moeten brengen. Je kent ze wel: EPD, OV-chipkaart, DigID, het rekeningrijden, het bewaren van onze internethistorie en cameratoezicht om er een paar te noemen. Vanuit praktisch oogpunt zijn de meeste van deze ontwikkelingen fantastisch, niets op tegen. Om met Sonneveld te spreken: "de nieuwe tijd, net wat u zegt". Je hoeft echter geen profeet te zijn om te kunnen bedenken dat alleen al op praktisch niveau de uitdagingen enorm zijn en zullen resulteren in (te) veel aandacht voor dat praktische niveau. Bijzaken zoals beveiliging, in dit geval vooral privacy, zullen er later bijgedacht moeten gaan worden. Ook dat is een bijna standaard aanpak, die we allemaal eerder gezien hebben. Omdat ieder van de bovenstaande onderdelen onder de competentie valt van een ander ministerie zal de verantwoordelijkheid waarschijnlijk ook verdeeld zijn. Uit politiek oogpunt is dat heel slim en past binnen ons polderbestel. Vanuit het gebruikersperspectief, en die gebruikers zijn wij, volstrekt ongewenst. Onze gevoelige informatie ligt straks op diverse plaatsen waar wij geen zicht op hebben en, erger, er zijn allerlei interessante koppelingen te maken die kunnen leiden tot inzichten waar wij nu nog niet over denken.
En het ergste is: er is straks niemand voor verantwoordelijk. De integrale aanpak, door ons professionals altijd voorgestaan, ontbreekt. Door het op deze wijze te organiseren vermijd je die verantwoordelijkheidsvraag ook zorgvuldig. De Tweede Kamer staat als controleur van het beleid, en in uiterste instantie waakhond over onze informatiebeveiliging, keurig buiten spel.
Wat mij betreft, en dat is de reden voor dit betoog, is het dus hoog tijd om een verantwoordelijke op ministerieel niveau te benoemen die zich gaat bezighouden met de beveiliging van onze informatie. Daarmee wil niet gezegd zijn dat bijvoorbeeld voedselveiligheid ook niet belangrijk is, maar daar is direct heel veel media-aandacht voor te genereren. Informatiebeveiliging is voor de gemiddelde Nederlander een non-issue, maar een salmonella-besmetting kan rekenen op een aantal dagen journaalaandacht.
Dus… vrijwilligers?